Questo documento presenta alcuni casi d'uso comuni di Google Cloud Armor Adaptive Protection.
Rilevamento e protezione degli attacchi DDoS L7
Il caso d'uso più comune di Adaptive Protection è rilevare e rispondere agli attacchi DDoS L7, come i flood HTTP GET, POST HTTP o altre attività HTTP ad alta frequenza. Gli attacchi DDoS L7 sono spesso relativamente lenti e aumentano di intensità nel tempo. Quando gli esseri umani o i meccanismi di rilevamento dei picchi automatici rilevano un attacco, è probabile che sia ad alta intensità e abbia già un forte impatto negativo sull'applicazione. Fondamentalmente, sebbene sia possibile osservare il picco di traffico in forma aggregata, è molto più difficile differenziare, in tempo reale, le singole richieste come dannose o meno perché appaiono come normali richieste complete. Allo stesso modo, poiché le origini degli attacchi sono distribuite tra botnet o altri gruppi di client dannosi con dimensioni che variano da migliaia a milioni, diventa sempre più difficile mitigare un attacco in corso identificando e bloccando sistematicamente i client dannosi in base al solo IP. Nel caso degli attacchi DDoS, il risultato è che l'attacco è riuscito a rendere il servizio interessato non disponibile per alcuni o tutti gli utenti normali.
Per rilevare e rispondere rapidamente agli attacchi DDoS L7, il proprietario del progetto o del criterio di sicurezza può abilitare la protezione di Adaptive Protection in base ai criteri di sicurezza nel progetto. Dopo almeno un'ora di addestramento e di osservazione dei normali modelli di traffico, Adaptive Protection sarà pronto a rilevare in modo rapido e accurato un attacco all'inizio del suo ciclo di vita e a suggerire regole WAF per bloccare l'attacco in corso, lasciando inalterati i normali utenti.
Le notifiche dei potenziali attacchi e la firma identificata del traffico sospetto vengono inviate a Logging, dove il messaggio di log può attivare un criterio di avviso personalizzato, essere analizzato e archiviato oppure inviato a una soluzione di gestione degli eventi e di sicurezza (SIEM) downstream o di gestione dei log. Consulta la documentazione di Logging per ulteriori informazioni su come integrare SIEM downstream o gestione dei log.
Rilevamento e risposta della firma di attacco
È fondamentale non solo rilevare e avvisare tempestivamente di potenziali attacchi, ma anche essere in grado di intervenire sull'avviso e rispondere in tempo per mitigare gli attacchi. I tecnici di un'azienda che si occupano di risposta agli incidenti devono dedicare minuti e ore importanti a indagare, analizzare frequentemente i log e i sistemi di monitoraggio per raccogliere informazioni sufficienti a sviluppare una risposta a un attacco in corso. Quindi, prima di eseguire il deployment della mitigazione, il piano deve essere convalidato per assicurarsi che non abbia un impatto indesiderato o negativo sui carichi di lavoro di produzione.
Con Adaptive Protection, chi risponde agli incidenti ha tutto ciò di cui ha bisogno per analizzare e rispondere rapidamente a un attacco DDoS L7 in corso nel momento in cui riceve l'avviso. L'avviso di Adaptive Protection include la firma del traffico determinato a partecipare al potenziale attacco. I contenuti della firma includeranno i metadati sul traffico in entrata, tra cui l'insieme di intestazioni delle richieste HTTP dannose, aree geografiche di origine e così via. L'avviso include anche una regola corrispondente alla firma di attacco che può essere applicata in Google Cloud Armor per bloccare immediatamente il traffico dannoso.
L'evento Adaptive Protection fornisce un punteggio di affidabilità e una percentuale di riferimento interessata prevista associata alla regola suggerita per facilitare la convalida. Ogni componente della firma include anche misure per la probabilità di attacco e la percentuale di attacco per consentire ai risponditori agli incidenti di perfezionare e restringere o ampliare l'ambito della risposta.
Personalizzazione del modello e generazione di report sugli errori
I modelli di rilevamento degli attacchi di Adaptive Protection sono addestrati su un set di dati, prodotto artificialmente per mostrare le caratteristiche del traffico buono e dannoso. Di conseguenza, è possibile che Adaptive Protection identificherà un potenziale attacco che, in seguito a ulteriori indagini, il responsabile degli incidenti o il proprietario dell'applicazione stabilirà che non è stato un attacco. Adaptive Protection è in grado di apprendere dal contesto e dai pattern di traffico univoci di ogni applicazione protetta.
Puoi segnalare singoli avvisi come falso positivo per aiutare Adaptive Protection ad addestrare e personalizzare i modelli di rilevamento. Con report falsi positivi, i modelli di Adaptive Protection avranno meno probabilità di inviare avvisi sul traffico con caratteristiche e attributi simili in futuro. Nel tempo, i modelli di rilevamento di Adaptive Protection saranno maggiormente in linea con le caratteristiche specifiche del traffico in ciascun criterio di sicurezza protetto. I passaggi per segnalare eventi falsi positivi sono stati descritti in Monitoraggio, feedback e segnalazione di errori relativi agli eventi.